 |
  |
|
| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | | ||||
 |
|
|||||||
|
||||||||
|
|||||
| 遭遇IFEO hijack(映像劫持) | |||||
作者:佚名 文章来源:网络 点击数: 更新时间:2007-6-25  |
|||||
|
然后每个盘里都有一个数字加英文的隐藏exe和一个autorun.inf,即使删除也会自动出来,右键磁盘也是正常的。也不能显示所有文件。 然后发现在c:\program files\common files\microsoft shared\MSinfo下看到几个这种相同的数字加英文的exe,昨天是8******.exe,还有dll,也是不能强制删除。而且一些exe都打开一秒钟也不到就关闭。 最后regedit能打开,查找这个文件,发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下找到很多,发现有些是正常的dll,有很多都是exe,包括这些不能用的,选中后发现右边有的是正常的内存数值,而大多数exe都是多了个debugger,然后内容就是指向那个在msinfo下的这个文件的。然后对比自己的注册表,只有较少。发现关键不能运行的原因在这里,于是删除所有有debugger对应那个文件的项,删除后一般就能打开原来不能打开的exe了。 然后那个8*****.dll始终删不掉,想了办法,结果重命名把后缀名去掉了,结果病毒不运行轻易被删除了,然后再到每个分区删除剩余的病毒文件。恢复右键,再装江民删除了感染的一些exe,有的文件图标也从模糊恢复了。 如果先把病毒大佬删除了,打开一些本来打不开的exe就会出现找不到文件情况,同样,在注册表里删除那个项便可。 网上查了查,注册表这个项本来没注意过,这次却发现是这个用途: zz~ 注册表的这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写,一般user只读。Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName] 如果存在,首先会试图读取这个键值: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ImageName] "Debugger"="debug_prog" 如果存在,就执行“debug_prog ImageName”。 在我们这台机器中,提示系统找不到文件,这里所谓找不到的其实是那个“adamrf.exe”,那是因为那个adamrf.exe已被杀毒软件删除的缘故。将包含这个键值的所有项目删除,系统恢复正常。 adamrf.exe是另外的情况非正常程序的例子。 ****************** 原来这是所谓的映像劫持 yyasong说 IFEO hijack(映象劫持)这种方法可以使部分程序不可运行 用类似的方法可以对付某些知道名字的病毒的运行,同时也有可能被病毒利用用autorun软件可以找到。 其实说起映像劫持,就是当系统执行某一个文件时,被映像劫持的系统会自动跳转到另一个程序去,而如果映像为空,也就是没有设置另一个程序,自然,就出现上面的错误提示了,比如: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exe cution Options\svchost.exe项下的"Debugger"="abc.exe" 意思是调用 abc.exe 来调试svchost.exe,关键就是 abc.exe 可能不是调试器,所以它不会启动 svchost.exe 又HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logo_1.exe项下的"Debugger"="logo_1.exe" ,这样当Debugger的值等于本身时,就是调用自身来调试自己,结果自己不是调试器,又来一次,递归了,就进入了死循环,也就不能启动了,从而很多威金免疫程序就是用了这个道理。 例子 对付威金变种测试通过 注册表: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Ex ecution Options\Logo1_.exe] "Debugger"="egomoo.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Ex ecution Options\rundl132.exe] "Debugger"="egomoo.exe" *************************** |
|||||
| 文章录入:IceRiver 责任编辑:IceRiver | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 最新热点 | 最新推荐 | 相关文章 | ||
| Sniffit常见问题及防范策略分 Sniffit常见问题及防范策略深 Gmail遭遇破解 网络遭遇“8749病毒”攻击 专 QQ游戏网站遭遇网络钓鱼 独立VoIP服务遭遇寒冬 前景依 Cisco广域应用服务(WAAS)存 企业邮箱遭遇海外退信 263提 淘宝网遭遇李鬼套取账号 官方 雅虎网页上周五遭遇故障 4成 |
 网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
 |
|
| 关于我们 - 版权声明 - 帮助(?) - 广告服务 - 联系我们 - 友情链接 - 用户注册 - | Powered by ICE RIVER - STUDIO |
|
|
| » CnXHacker.CoM |  |
© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved. |
